ユニバーサルミュージックグループの日本法人、ユニバーサルミュージック合同会社(ユニバーサルミュージックジャパン、東京都渋谷区)は、同社が運営するECサイトが不正アクセスを受け顧客の個人情報が流出した可能性があると発表しました。
SNSの投稿を受けて調査をしたら‥‥
ユニバーサルミュージックジャパンのプレスリリースによると、SNS上で個人情報の流出を示唆する投稿があったことから10月25日に社内で調査を行ったところUNIVERSAL MUSIC STOREなど同社が運営しているECサイトのシステムに外部の第三者によって不正なアクセスを受けた痕跡が見つかったということです。このためECサイトの一部営業を停止してシステムメンテナンスを実施、安全性を確認した後、10月28日より通常の営業を再開したということです。
UNIVERSAL MUSIC STOREはユニバーサルミュージック公式通販サイトでユニバーサルミュージックに所属するアーティストのCDやDVD、グッズなどが購入できる公式オンラインストアです。他に「UNIVERSAL MUSIC STORE ANNEX」「オフィシャルアーティストストア」「THE BEATLES STORE」があり計4つのECサイトを運営しているということです。個人情報の流出については現在、調査中としつつ4サイトのいずれかで顧客が商品を購入した際に登録した氏名、住所、電話番号、メールアドレス、購入履歴が流出した可能性があるということです。件数については現在、調査中としています。一方、ログイン用パスワードやクレジットカード情報などの決済情報については当該システム上には保存されておらず流出の可能性はないとしています。
流出は300万件超?
「UMG Japanでのセキュリティインシデントにより、300万件を超える顧客記録が漏洩したと報告されている」との0xzx.comというサイトの記事がネットで確認されます。0xzx.comはブロックチェーンの最新情報や暗号資産の市場分析などを提供しているニュースメディアのようですが所在地は不明です。0xzx.comの記事によるとこの情報を最初に報じたのはTechNaduだということです。TechNaduは10月24日に「ユニバーサルミュージックグループジャパンのデータ侵害で数百万件の顧客情報が流出」との記事を掲載しており、その記事によると漏洩は300万件を超えるということです。また、ユニバーサルミュージックグループは侵害の通知を受けていたが、当初は警告に対して行動をしなかったとしていて、また侵害の原因は設定ミスだとしています。TechNaduはサイバーセキュリティ、VPN、テクノロジー関連のニュースを提供しているインドを拠点とするオンラインメディアのようです。
TechNaduの記事は本文でソースを明らかにしていませんが、vx-underground.orgのX投稿のリンクを貼っていることから、ソースはvx-underground.orgと思われます。ウィキペディアによるとvx-underground.orgはマルウェアとサイバーセキュリティに関するサイトで、2019年5月に開設され、3500万個以上のマルウェアサンプルをホストしていて簡易投稿サイトXでサイバーセキュリティの侵害の報告と検証を行っているということです。よって恐らくユニバーサルミュージックジャパンがプレスリリースで明らかにしているSNS上の投稿とはvx-underground.orgのX投稿と思われ、vx-underground.orgの情報をTechNaduが記事化し、TechNaduの記事を受けて0xzx.comが記事にしたのではないかと思われます。そして10月31日にユニバーサルミュージックジャパンがプレスリリースを発表して不正アクセスと個人情報流出の可能性について明らかにしました。
【出典】
https://www.universal-music.co.jp/press-releases/2025-10-31/